既然普通路由器在SD-WAN网络里,无法配置SD-WAN功能,是不是可以扔了?
为什么要扔?虽然普通路由器没有SD-WAN功能,但是依然可以手工配置WAN(IPsec)。这样就可以与SD-WAN路由器建立IPsec Tunnel,这就是混合SD-WAN网络架构。所以普通的路由器依然可以发挥余热。但是这样的混合模型,又要引入大量的手工配置,不仅仅是普通路由器,SD-WAN路由器也要手工配置。这样SD-WAN路由器几乎几乎0配置的优势就消失大半。
听说SD-WAN有三个层面,分别是Management、Control、Data,而且这三个层面都分离了,为什么要这么做?或者这么做有什么好处?
SD-WAN网络的读者,可能会经常看到这样一个字眼“Zero Touch”。意思是“零接触”就可以让SD-WAN路由器上线工作了。哈哈,这是SD-WAN路由器厂商的一个噱头,你看那个零接触是用引号引起来的。
事实上,SD-WAN路由器还是需要配置的,当然SD-WAN路由器有大量的配置模板,只要少许改动一点点配置,比如主机名、接口IP地址等等。但是这些配置不是通过console口登录SD-WAN路由器配置的,而是通过一个中心化的管理配置服务器,通过管理层面的安全连接,推送给SD-WAN路由器的。可以自动推送,也可以手工推送。
但是无论是自动推送还是手工推送,总是要将SD-WAN路由器的接口插入网线,连上网络才可以吧?既然需要插入网线,怎么能算零接触呢?
所以“零接触”仅仅是一个噱头。它真实的意思是,网络管理员无需用console线连接SD-WAN路由器,完成繁琐的配置。
下一个问题,将SD-WAN插入网线就万事大吉,SD-WAN可以干活了?
No!
SD-WAN厂商市场团队往往会创新一些新的噱头名词,另外一个噱头就是“Zero Provision”,中文的意思是“零配置”。意思是在SD-WAN路由器上,你无需做任何配置。从字面上理解,他们确实没有骗你!因为你除了插上网线,在SD-WAN上没有做过任何配配置。Console线都没有连,怎么做配置啊?
既然无需配置,那每个SD-WAN路由器所服务的网段是不一样的,SD-WAN的LAN口会连接内网,每个LAN口的IP地址也是不一样的。难道SD-WAN是大神,可以预先知道自己LAN口的IP地址与掩码?
SD-WAN不是大神,就是一个多嵌入一点点自动化代码的路由器。所以SD-WAN路由器同样需要配置文件,只是这个配置不是在SD-WAN路由器上完成,而是在配置管理服务器上完成。
很自然,SD-WAN路由器需要和配置管理服务器联系一下,让对方把自己对应的SD-WAN配置推送下来,这是一个好主意。可是SD-WAN路由器只有一个几乎空白的配置文件,配置文件里也没有配置服务器的域名IP地址什么之类的。要有就好了,直接联系,配置就推送下来了。
有同学说,那还不简单,SD-WAN路由器出厂默认配置将配置服务器的域名IP地址刷上,那么不就可以了吗?
听起来很不错的主意,可是全球几十万个企业在使用SD-WAN,每个企业的配置服务器都是自己公司独有的,出厂默认配置哪个好?
都不合适!
但是这点小困难难不住SD-WAN厂商,不就是SD-WAN路由器找不到自己的配置管理服务器吗? 既然你们都买了我的SD-WAN设备,一旦SD-WAN无法找到自己的配置服务器,来找我好啦。
于是SD-WAN厂商在出厂的配置里加入了自己的联系方式(域名)。一旦SD-WAN路由器来联系自己,厂商查验序列号,根据销售记录找到特定企业客户的配置配置服务器,然后推送给SD-WAN路由器。
SD-WAN路由器一旦拥有了联系方式,就可以与自己的配置服务器建立一个安全连接,然后配置文件顺着安全连接就神不知鬼不觉溜到了SD-WAN路由器上,并保存下来。
所以零接触、零配置,并不是不接触、不配置,而是将SD-WAN的配置集中在配置服务器上。写到这里突然有一个很值得探讨的问题,既然SD-WAN在联系配置服务器之前,没有自己的配置文件,也意味着接口没有配置IP地址、网关之类的,它是如何与配置服务器建立安全连接的?
